k8s安全 认证 鉴权 准入控制之一:认证(Authentication)

最新推荐文章于 2024-09-13 21:43:54 发布
最新推荐文章于 2024-09-13 21:43:54 发布
阅读量2.7w 收藏 8
点赞数 1
分类专栏: kubernetes云原生纪元 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37546425/article/details/118526238
版权

系列文章链接

  1. k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
  2. k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
  3. k8s安全 认证 鉴权 准入控制之三:实践
  4. k8s安全 认证 鉴权 准入控制之四:准入控制

机制说明

Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全

image-20200306115227120

认证(Authentication)

  • HTTP Token 认证:通过一个 Token 来识别合法用户

    • HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一 种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访 问的文件中。当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token

  • HTTP Base 认证:通过 用户名+密码 的方式认证

    • 用户名+:+密码 用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端,服务端收到后进行编码,获取用户名及密码

  • 最严格的 HTTPS 证书认证:基于 CA 根证书签名的客户端身份认证方式

I、HTTPS 证书认证:

image-20200306115658576

II、需要认证的节点

image-20200306115743128

两种类型

  • Kubenetes 组件对 API Server 的访问:kubectl、Controller Manager、Scheduler、kubelet、kube- proxy
  • Kubernetes 管理的 Pod 对容器的访问:Pod(dashborad 也是以 Pod 形式运行)

安全性说明

  • Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口 访问, --insecure-bind-address=127.0.0.1
  • kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证

证书颁发

  • 手动签发:通过 k8s 集群的跟 ca 进行签发 HTTPS 证书
  • 自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为 kubelet 生成一个证书,以后的访问都是用证书做认证了 kubeadm使用

III、kubeconfig

kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(上面生成的证书和私钥),集群 context 信息(集群名称、用户名)。Kubenetes 组件通过启动时指定不同的 kubeconfig 文件可以切换到不同 的集群

Kubectl 客户端可以根据这个文件连接认证不同K8s集群

路径~/.kube/config

IV、ServiceAccount

解决Pod中的容器访问API Server认证的问题。

为什么不用https证书认证?因为Pod的创建、销毁是动态的,Po副本如果是几百个,就需要新建出几个证书,而且Pod是随之消耗,证书就没用这个过程太消耗内存了。所以要为它手动生成证书就不可行了。

Kubenetes使用了Service Account解决Pod 访问API Server的认证问题,包含私钥和命名空间

V、Secret 与 SA 的关系

Kubernetes 设计了一种资源对象叫做 Secret,分为两类,一种是用于 ServiceAccount 的 service-account- token, 另一种是用于保存用户自定义保密信息的 Opaque。ServiceAccount 中用到包含三个部分:Token、 ca.crt、namespace

  • token是使用 API Server 私钥签名的 JWT。用于访问API Server时,Server端认证
  • ca.crt,根证书。用于Client端验证API Server发送的证书
  • namespace, 标识这个service-account-token的作用域名空间
kubectl get secret --all-namespaces
kubectl describe secret default-token-5gm9r --namespace=kube-system

默认情况下,每个 namespace 都会有一个 ServiceAccount,如果 Pod 在创建时没有指定 ServiceAccount, 就会使用 Pod 所属的 namespace 的 ServiceAccount

image-20200306120245135

系统组件访问ApiServer分两种认证:

  • Controller Manager、Scheduler 与 API Server 在同一台机器,使用非安全加密端口
  • kubectl、kubelet、kube-proxy 访问 API Server就都需要证书进行 HTTPS 双向认证
  • Pod 访问ApiServer需要Service Account
醉清风_
关注
专栏目录
K8S访问控制------认证authentication )、授权(authorization )体系
qq_41768644的博客
08-29 841
K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。
K8S——认证(Authentication)
benziwu的博客
12-27 358
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了、、三步来保证API Server的安全在这里插入图片描述 HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Base 认证:通过 用户名+密码 的方式认证 最严格的 HTTPS 证书认证:基于 CA
k8s dashboard 认证配置
xiaomin1991222的专栏
03-30 476
Authentication to the Kubernetes API Server A number of components are involved in the authentication process and the first step is to narrow down the source of the problem, namely whet...
k8s--安全认证
最新发布
m0_74091945的博客
09-13 1094
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication认证):身份鉴别,只有正确的账号才能够通过认证
kubekey或kk离线安装k8s集群,一个忽视的问题unauthorized: authentication required
qq_41015868的博客
10-31 1215
kubekey简称kk安装k8s集群时的安装问题
k8s从入门到放弃-第九章安全认证
一起学习吧
05-14 573
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
K8S 安全认证
elihe2011的专栏
12-27 4010
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
K8S 安全认证机制(认证、授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制
weixin_45880055的博客
06-10 3026
文章目录一、访问控制概述二、认证管理三、授权管理Role、ClusterRoleRoleBinding、ClusterRoleBindingRoleBinding引用ClusterRole进行授权实例四、准入控制 一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account: 一般是独立于kubern
k8s的访问控制认证+授权+准入控制
yrx420909的博客
05-05 3300
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
k8s安全机制(认证授权)
BushRo
03-28 2147
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。Kubernete
k8s中各组件和kube apiserver通信时的认证鉴权
weixin_40418457的博客
06-09 1029
背景 和master节点kube api-server通信的组件有很多,包括: kubelet calico scheduler kubectl 某些pod可能会和kube api-server通信 这些组件和api-server通信时用的是什么身份,可以操作哪些api资源呢? 本文使用的k8s集群是用kubekey搭建,命令是./kk create cluster --with-kubernetes v1.21.5 --with-kubesphere v3.2.1 kubectl的身份和权限 ku
中国电信《机顶盒与IPTV平台接口技术规范(V2.0)》
01-10
中国电信《机顶盒与IPTV平台接口技术规范(V2.0)》
k8s安全 认证 鉴权 准入控制之一:实践
热门推荐
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) k8s安全 认证 鉴权 准入控制之三:实践 实践: 创建一个用户只能管理 dev 空间 在集群的master节点主机生成用户 $ useradd devuser $ passwd devuser 如果在集群的master节点通过这个用户连接然后执行kubectl命令肯定是没有权限的,需要给他生成证书,然后设置权限 设置证书生
kubernetes安全机制
Drw_Dcm的博客
11-14 2638
kubernetes安全机制
认证鉴权准入控制
asufeiya的博客
08-15 214
前两种都是服务器验证了客户端。但是客户端并没有验证服务器的真实性。 https证书认证。 pod也访问api server比如coredns 因为都是kubeadm安装的 所以没有手动签发 都是自动签发的 就是集群认证信息的填充。 是个隐藏文件 还有证书信息以及私钥信息 包含集群的访问方式以及认证信息 如果是pod访问api server就需要借助sa 每一个命名空间下都会有一个自定义的secret 授权 资源就是deployment,pod,cpu,内存等资源 非资源就是原数..
k8sAuthentication Authorization Admission control含义
conli的博客
10-24 224
k8s Authentication Authorization Admission control 含义与区别
k8s认证cka专题cka认证 cka真题
yuezhilangniao的博客
11-25 1000
参考链接:https://blog.csdn.net/shuoshuo132/article/details/115362867 一 开始介绍 总共17道题目,考试时间2小时,每道题目的分值不同,根据题目的难易程度。满分100分,通过分数为66分。(2021年3月) 题目均为实操题 github官方链接:https://github.com/cncf/curriculum 报名方式,登录linux foundation(有国内版:https://training.linuxfoundation.cn/ )进
Emqx开启用户名密码验证
Zero的博客
09-24 5581
一、Emqx认证方式介绍:   根据官网文档介绍:emqx支持内置数据库Mnesia (用户名/Client ID)认证,使用配置文件与 EMQ X 内置数据库提供认证数据源,通过 HTTP API 进行管理,足够简单轻量。 EMQ X 支持使用内置数据源(文件、内置数据库)、JWT、外部主流数据库和自定义 HTTP API 作为身份认证数据源。 连接数据源、进行认证逻辑通过插件实现的,每个插件对应一种认证方式,使用前需要启用相应的插件。 客户端连接时插件通过检查其 username/clientid 和
认证 鉴权 准入控制Kubernetes 集群安全认证机制说明及https证书认证
作为一个文件,"17 18 19 20、认证 鉴权 准入控制 HEML-V2.pdf"是关于Kubernetes集群安全认证的内容。该文件总结了认证机制的说明和Authentication认证的细节。其中提到了三种认证介绍,包括HTTPS证书认证和需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

醉清风_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值